La présente politique de confidentialité décrit comment Expert Copro Gestion collecte, utilise et protège vos données personnelles lorsque vous utilisez notre plateforme SaaS dédiée aux administrateurs de biens. Elle est rédigée conformément au Règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et à la loi française Informatique et Libertés modifiée.
Le responsable du traitement des données à caractère personnel collectées via la plateforme Expert Copro Gestion est :
En qualité de responsable du traitement, Expert Copro Gestion détermine les finalités et les moyens des traitements de données personnelles effectués dans le cadre de la fourniture de la plateforme.
Expert Copro Gestion est une plateforme B2B. Les utilisateurs finaux sont des professionnels de l'immobilier (administrateurs de biens, gestionnaires de copropriétés). Dans ce contexte, l'organisation cliente (cabinet immobilier abonné) agit en tant que responsable du traitement pour les données de ses propres clients copropriétaires, tandis qu'Expert Copro Gestion agit en qualité de sous-traitant pour ces données.
Expert Copro Gestion collecte les catégories de données suivantes :
2.1 Données de compte et d'identification
- Nom et prénom : renseignés lors de la création du compte ou transmis par Google OAuth
- Adresse e-mail : identifiant principal du compte
- Mot de passe : stocké sous forme hachée avec l'algorithme bcrypt (jamais en clair) — uniquement pour les comptes avec authentification email/mot de passe
- Photo de profil Google : URL transmise par Google lors d'une connexion via Google OAuth, uniquement si vous choisissez cette méthode de connexion
- Rôle dans l'organisation : administrateur ou collaborateur standard
2.2 Données d'organisation
- Raison sociale du cabinet immobilier
- Numéro SIREN de l'organisation
- Adresse postale de l'organisation
- Données d'invitation : e-mails des collaborateurs invités (stockés jusqu'à acceptation ou annulation)
2.3 Données métier
- Tâches : titre, description, statut, priorité, date d'échéance, utilisateur assigné
- Biens immobiliers : adresse, numéro d'immatriculation RNCOP, caractéristiques du bien
- Documents : fichiers uploadés (PDF, images, etc.) en pièce jointe des tâches, stockés sur serveur OVH en France
2.4 Données techniques et de navigation
- Adresse IP : collectée à chaque requête à des fins de sécurité et de limitation de débit (rate limiting)
- Agent utilisateur (navigateur, OS) : transmis automatiquement par votre navigateur
- Logs d'activité : horodatage des actions réalisées sur la plateforme (création, modification, suppression d'entités)
- Identifiant de session : cookie technique de session PHP
2.5 Données de paiement
Expert Copro Gestion ne stocke jamais vos numéros de carte bancaire, codes CVV ni coordonnées bancaires complètes. Les paiements sont intégralement gérés par notre prestataire de paiement Stripe, certifié PCI-DSS niveau 1. Nous conservons uniquement les références de transaction et l'historique de facturation nécessaires à nos obligations comptables et légales.
2.6 Données issues de sources publiques
- Données RNCOP : informations issues du Registre National des Copropriétés (data.gouv.fr), accessibles publiquement, utilisées pour enrichir les fiches biens (syndic, nombre de lots, etc.)
Vos données personnelles sont traitées pour les finalités suivantes :
| Finalité |
Description |
| Gestion du compte et authentification |
Création et gestion de votre compte utilisateur, connexion sécurisée (email/mot de passe ou Google OAuth), gestion des sessions, réinitialisation de mot de passe. |
| Fourniture du service |
Gestion des tâches, des biens immobiliers, des documents, des membres de l'organisation, des invitations collaborateurs et de l'accès multi-tenant à la plateforme. |
| Facturation et paiement |
Traitement des paiements, émission de factures, suivi des abonnements, gestion des impayés et respect des obligations comptables légales. |
| Communications transactionnelles |
Envoi des notifications de tâches assignées, des invitations à rejoindre une organisation, du récapitulatif hebdomadaire des tâches (digest du lundi), et de toute communication liée à l'exécution du contrat. |
| Sécurité de la plateforme |
Détection et prévention des abus, rate limiting, journalisation des accès, protection contre les attaques (injections, CSRF, brute force), vérification des uploads. |
| Amélioration du service |
Statistiques d'usage anonymisées ou agrégées (nombre de tâches créées, taux d'utilisation des fonctionnalités) permettant d'orienter les développements futurs. Ces statistiques ne permettent pas d'identifier un utilisateur individuellement. |
| Support client |
Traitement de vos demandes d'assistance, de vos questions et réclamations transmises par e-mail ou via le formulaire de contact. |
Conformément à l'article 6 du RGPD, chaque traitement repose sur une base légale identifiée :
| Traitement |
Base légale |
Détail |
| Création de compte, authentification |
Exécution du contrat (art. 6.1.b) |
Nécessaire à l'accès à la plateforme souscrite |
| Fourniture des fonctionnalités (tâches, biens, documents) |
Exécution du contrat (art. 6.1.b) |
Constitue l'objet même du service |
| Facturation, obligations comptables |
Obligation légale (art. 6.1.c) |
Tenue de la comptabilité, conservation 10 ans (Code de commerce) |
| Notifications transactionnelles (tâches, invitations) |
Exécution du contrat (art. 6.1.b) |
Inhérentes au fonctionnement du service |
| Digest hebdomadaire |
Intérêt légitime (art. 6.1.f) |
Amélioration de l'expérience utilisateur ; désactivable sur demande |
| Sécurité, lutte contre la fraude |
Intérêt légitime (art. 6.1.f) |
Protection de la plateforme et de ses utilisateurs |
| Statistiques d'amélioration du service |
Intérêt légitime (art. 6.1.f) |
Données agrégées ou anonymisées, ne permettant pas d'identification individuelle |
| Formulaire de contact (prospection) |
Consentement (art. 6.1.a) |
Consentement exprimé lors de l'envoi du formulaire |
Vos données sont conservées pour des durées strictement nécessaires aux finalités pour lesquelles elles ont été collectées :
| Catégorie de données |
Durée de conservation |
Justification |
| Données de compte (compte actif) |
Durée de l'abonnement + 30 jours |
Délai de grâce permettant la réactivation ou l'export des données |
| Données de compte (compte supprimé) |
Effacées dans les 30 jours suivant la suppression |
Droit à l'effacement ; archivage intermédiaire 30 jours en cas de contestation |
| Tâches, biens immobiliers, documents |
Durée de l'abonnement + 30 jours |
Liée à la durée du compte |
| Logs d'activité et logs de sécurité |
12 mois glissants |
Détection d'incidents de sécurité, obligations de traçabilité |
| Données de facturation et factures |
10 ans à compter de la date d'émission |
Obligation légale — article L. 123-22 du Code de commerce |
| Invitations en attente |
Jusqu'à acceptation, refus ou annulation (maximum 30 jours) |
Finalité atteinte dès l'action sur l'invitation |
| Données du formulaire de contact |
3 ans à compter du dernier contact |
Durée de prescription de l'action en responsabilité contractuelle |
| Données de session |
Durée de la session (expiration automatique) |
Cookie technique de session uniquement |
À l'issue des délais de conservation, les données sont supprimées définitivement ou anonymisées de manière irréversible. Aucune sauvegarde n'est conservée au-delà de ces délais à titre personnel.
Expert Copro Gestion fait appel à des prestataires techniques soigneusement sélectionnés, qui agissent en qualité de sous-traitants au sens du RGPD. Chacun est lié par un accord de traitement des données (DPA) conforme à l'article 28 du RGPD.
Nous ne vendons, ne louons et ne cédons jamais vos données personnelles à des tiers à des fins commerciales ou de prospection.
| Sous-traitant |
Rôle |
Localisation |
Données transmises |
Garanties |
| OVH SAS |
Hébergement de la plateforme, serveur web, base de données MySQL, stockage des fichiers uploadés |
France (Roubaix, Gravelines) |
Toutes les données de la plateforme |
Hébergement 100 % en France — Politique OVH |
| Brevo (Sendinblue SAS) |
Envoi des e-mails transactionnels (notifications, invitations, digest hebdomadaire) |
France (Paris) |
Adresse e-mail du destinataire, prénom, contenu de l'e-mail |
DPA conforme RGPD — Politique Brevo |
| Stripe Payments Europe |
Traitement des paiements, gestion des abonnements, facturation |
Irlande (UE) + États-Unis |
Données de facturation, historique des transactions (pas de numéro de carte) |
Certifié PCI-DSS niveau 1 ; Clauses Contractuelles Types pour les transferts hors UE — Politique Stripe |
| Google LLC |
Authentification OAuth 2.0 (si vous choisissez la connexion via Google) |
États-Unis |
Nom, e-mail, identifiant Google, photo de profil |
Clauses Contractuelles Types ; DPA Google Workspace — Politique Google |
| data.gouv.fr (DINUM) |
Accès aux données publiques du Registre National des Copropriétés (RNCOP) pour l'enrichissement des fiches biens |
France |
Requête d'adresse ou de numéro d'immatriculation (données publiques) |
Données ouvertes (Open Data), licence Etalab — aucune donnée personnelle transmise |
Outre ces sous-traitants, vos données peuvent être transmises aux autorités compétentes (judiciaires, administratives) dans les cas expressément prévus par la loi, sur réquisition ou décision de justice.
La majorité de vos données est traitée au sein de l'Union européenne, principalement en France (OVH SAS, Brevo). Toutefois, deux de nos sous-traitants impliquent des transferts vers des pays tiers :
Stripe (États-Unis)
Stripe Payments Europe Limited est établi en Irlande (UE). Certaines opérations peuvent être traitées par Stripe Inc. aux États-Unis. Ces transferts sont encadrés par des Clauses Contractuelles Types (SCC) approuvées par la Commission européenne conformément à la décision d'exécution 2021/914, et par le programme EU-U.S. Data Privacy Framework auquel Stripe adhère.
Google LLC (États-Unis)
Si vous utilisez la connexion via Google OAuth, vos données d'identification sont transmises à Google LLC, établi aux États-Unis. Ces transferts sont encadrés par des Clauses Contractuelles Types et le EU-U.S. Data Privacy Framework. Vous pouvez vous connecter exclusivement par e-mail/mot de passe pour éviter tout transfert vers Google.
Les Clauses Contractuelles Types garantissent un niveau de protection équivalent à celui offert par le RGPD, conformément aux exigences de l'article 46 du règlement. Vous pouvez obtenir une copie de ces mécanismes de protection en nous contactant à contact@expert-copro-gestion.fr.
Conformément au RGPD (articles 15 à 22), vous disposez des droits suivants sur vos données personnelles :
Droit d'accès
Obtenir une copie de toutes les données personnelles vous concernant que nous traitons, ainsi que des informations sur les finalités et modalités du traitement.
Droit de rectification
Demander la correction de données inexactes ou incomplètes vous concernant.
Droit à l'effacement
Demander la suppression de vos données dans les cas prévus par le RGPD (données plus nécessaires, retrait du consentement, opposition fondée).
Droit à la portabilité
Recevoir vos données dans un format structuré, couramment utilisé et lisible par machine, et les transmettre à un autre responsable de traitement.
Droit d'opposition
Vous opposer à un traitement fondé sur l'intérêt légitime (notamment les statistiques d'amélioration du service ou le digest hebdomadaire).
Droit à la limitation
Demander la suspension temporaire du traitement de vos données dans les cas prévus par le RGPD (contestation de l'exactitude, traitement illicite, etc.).
Comment exercer vos droits ?
Pour exercer l'un de ces droits, adressez votre demande par e-mail à :
contact@expert-copro-gestion.fr
Précisez dans votre message le droit que vous souhaitez exercer et, si nécessaire pour confirmer votre identité, joignez une copie d'un justificatif d'identité. Nous nous engageons à répondre à toute demande dans un délai de 30 jours à compter de la réception (délai pouvant être prolongé à 3 mois pour les demandes complexes, avec notification préalable).
Si vous estimez, après nous avoir contactés, que vos droits ne sont pas respectés, vous avez le droit d'introduire une réclamation auprès de la CNIL (Commission Nationale de l'Informatique et des Libertés) :
www.cnil.fr/fr/plaintes — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07.
Ce que nous utilisons
Expert Copro Gestion utilise un unique cookie strictement nécessaire : le cookie de session PHP.
| Nom du cookie |
Type |
Finalité |
Durée |
Tiers |
PHPSESSID |
Technique / essentiel |
Maintien de la session authentifiée sur l'application web (identifiant de session côté serveur) |
Durée de la session (supprimé à la fermeture du navigateur ou à la déconnexion) |
Non |
Aucun cookie de pistage, publicitaire ou analytique n'est déposé. Nous n'utilisons pas Google Analytics, Facebook Pixel, ni aucun autre traceur tiers à des fins de ciblage ou de mesure d'audience commerciale. Le cookie de session est configuré avec les attributs de sécurité HttpOnly, Secure et SameSite=Lax.
Ce cookie étant strictement nécessaire au fonctionnement de la plateforme, aucun consentement préalable n'est requis pour son dépôt, conformément à l'article 82 de la loi Informatique et Libertés et aux lignes directrices de la CNIL.
Expert Copro Gestion met en œuvre des mesures techniques et organisationnelles appropriées pour protéger vos données personnelles contre toute perte, accès non autorisé, divulgation, altération ou destruction accidentelle, conformément à l'article 32 du RGPD :
- Chiffrement des communications : toutes les échanges entre votre navigateur et notre serveur sont chiffrés en HTTPS/TLS (certificat SSL actif).
- Mots de passe hachés : les mots de passe sont stockés exclusivement sous forme hachée avec l'algorithme bcrypt (facteur de coût élevé), jamais en clair.
- Sessions sécurisées : cookies de session configurés
HttpOnly, Secure, SameSite=Lax pour prévenir les attaques XSS et CSRF.
- Protection CSRF : jeton CSRF unique par session, vérifié sur toutes les requêtes en écriture (POST, PUT, DELETE).
- Requêtes préparées : toutes les interactions avec la base de données utilisent des requêtes paramétrées PDO (protection contre les injections SQL).
- Contrôle des uploads : le type MIME réel de chaque fichier uploadé est vérifié côté serveur (indépendamment de l'extension), les extensions dangereuses sont bloquées, et les fichiers sont servis depuis un répertoire protégé par
.htaccess avec exécution PHP désactivée.
- Rate limiting : limitation du nombre de requêtes par session (100 req/min) et par adresse IP (formulaire de contact : 5 tentatives par 15 minutes) pour prévenir les abus.
- Contrôle d'accès : architecture multi-tenant avec isolation stricte des données par organisation. Chaque ressource est scopée par
org_id. Les collaborateurs n'ont accès qu'aux données de leur organisation.
- Hébergement sécurisé : données hébergées exclusivement sur les serveurs d'OVH SAS, localisés en France, dans des datacentres sécurisés.
- Corps des requêtes limité : la taille des requêtes JSON est limitée à 1 Mo pour prévenir les attaques par déni de service (DoS).
- Audits de sécurité : des audits de sécurité réguliers sont conduits pour identifier et corriger les vulnérabilités potentielles.
En cas de violation de données à caractère personnel présentant un risque pour vos droits et libertés, nous nous engageons à notifier la CNIL dans les 72 heures conformément à l'article 33 du RGPD, et à vous informer dans les meilleurs délais si la violation est susceptible d'engendrer un risque élevé pour vous (article 34 du RGPD).
Expert Copro Gestion se réserve le droit de modifier la présente politique de confidentialité à tout moment, notamment pour l'adapter à de nouvelles fonctionnalités, à l'évolution des pratiques ou aux exigences réglementaires.
En cas de modification substantielle — c'est-à-dire susceptible d'affecter significativement vos droits ou les finalités de traitement —, nous vous en informerons au moins 30 jours avant l'entrée en vigueur des changements par e-mail à l'adresse associée à votre compte.
La version actuellement en vigueur est toujours accessible à l'adresse www.expert-copro-gestion.fr/politique-confidentialite.html. La date de dernière mise à jour figure en haut du sommaire. La poursuite de l'utilisation de la plateforme après la date d'entrée en vigueur des modifications vaut acceptation de la nouvelle version.
Nous vous invitons à consulter régulièrement cette page.
Version actuelle : 1.0 — entrée en vigueur le 13 avril 2026.
Pour toute question relative à la présente politique de confidentialité, à l'exercice de vos droits ou à nos pratiques en matière de protection des données, vous pouvez nous contacter :
Nous ferons notre meilleur effort pour répondre à votre demande dans les meilleurs délais, et au plus tard dans un délai de 30 jours ouvrés.
